Часті запитання

Директива NIS2 - це законодавчий акт Європейського Союзу, який встановлює більш суворі зобов'язання з кібербезпеки для організацій, що працюють у різних секторах критичної інфраструктури, а також важливих секторах. Вона охоплює всі великі та середні компанії в цих секторах і посилює правила щодо управління ризиками, звітування про інциденти, обміну інформацією та інше.

DORA, з іншого боку, - це рамки цифрової операційної стійкості, спрямовані на фінансові установи, такі як банки та платіжні провайдери. Вона має забезпечити, щоб ці установи могли захищатися від, реагувати на та відновлюватися після різних ICT-пов'язаних атак та загроз.

Коротко кажучи, Директива NIS2 зосереджена на ширшому колі організацій, що працюють у критичній інфраструктурі, тоді як DORA зосереджена конкретно на фінансових установах.

NIS2 для європейської кібербезпеки - це те, чим GDPR був для європейського захисту даних.

Де GDPR посилив вимоги щодо того, як країни-члени ЄС керують персональними даними, мета NIS2 - забезпечити, щоб усі європейські компанії та організації, що надають основні послуги, підтримували високий рівень кібербезпеки.

Директива NIS2 була офіційно опублікована в Офіційному журналі Європейського Союзу 27 грудня 2022 року. Вона набула чинності 16 січня 2023 року, що означає, що країни-члени ЄС мають до 17 жовтня 2024 року трансформувати директиву в національне законодавство.

Після набуття чинності цих законів, організації, що підпадають під дію NIS2, повинні виконувати вимоги або зіткнутися зі штрафами.

NIS2 поширюється на організації, які класифікуються як "важливі" або "значущі" суб'єкти в межах одного з 15 секторів, що охоплюються директивою. Категоризація залежить від сектора та розміру організації (середні та великі компанії).

Важливі суб'єкти включають організації в таких секторах, як енергетика, транспорт, банківська справа, фінансові ринкові інфраструктури, охорона здоров'я, питна вода, цифрова інфраструктура, державне управління та космос.

Значущі суб'єкти включають організації в таких секторах, як поштові та кур'єрські послуги, управління відходами, хімічна промисловість, харчова промисловість, виробництво, цифрові постачальники та дослідження.

Організації, які не виконують вимоги NIS2, можуть зіткнутися зі значними штрафами: - Для важливих суб'єктів: Штрафи до 10 мільйонів євро або 2% глобального річного обороту, залежно від того, що більше - Для значущих суб'єктів: Штрафи до 7 мільйонів євро або 1,4% глобального річного обороту, залежно від того, що більше

Крім того, організації можуть зіткнутися з іншими наслідками, такими як тимчасові заборони для керівників та репутаційні збитки.

NIS2 вимагає від організацій впровадження відповідних та пропорційних технічних, операційних та організаційних заходів кібербезпеки, включаючи:

- Аналіз ризиків та політики безпеки інформаційних систем - Заходи щодо обробки інцидентів та безперервності бізнесу - Безпека ланцюжка постачання, включаючи аспекти безпеки відносин з постачальниками та провайдерами послуг - Безпека при придбанні, розробці та обслуговуванні мережевих та інформаційних систем - Політики та процедури для оцінки ефективності заходів управління ризиками кібербезпеки - Базові практики кібергігієни та навчання з кібербезпеки - Політики та процедури щодо розкриття вразливостей - Заходи щодо управління ризиками, що створюються для систем ланцюжком постачання

NIS2 націлена переважно на середні та великі підприємства в охоплених секторах. Мікро- та малі підприємства зазвичай виключені з сфери дії NIS2, за деякими винятками для суб'єктів, які:

- Надають ключові послуги суспільству - Працюють у секторах з високим ризиком - Є єдиними постачальниками послуг у державі-члені - Мали б значний вплив на громадську безпеку, державну безпеку або громадське здоров'я у випадку порушення

Однак малі підприємства, які є частиною ланцюжка постачання для більших організацій, можуть опосередковано потребувати покращення своїх заходів кібербезпеки для відповідності вимогам своїх більших клієнтів.

NIS2 розділяє охоплені суб'єкти на дві категорії на основі їх критичності:

Важливі суб'єкти: Організації в секторах, які вважаються критичними для функціонування суспільства та економіки, такі як енергетика, транспорт, банківська справа, охорона здоров'я, цифрова інфраструктура тощо.

Значущі суб'єкти: Організації в секторах, які, хоча й є значними, вважаються менш критичними ніж важливі сектори, такі як поштові послуги, виробництво, виробництво продуктів харчування тощо.

Важливі суб'єкти підлягають більш суворому нагляду, зазвичай екз-анте (превентивному) нагляду, тоді як значущі суб'єкти підлягають легшому, екз-пост (реактивному) нагляду. Важливі суб'єкти також стикаються з більш високими потенційними штрафами за невідповідність.